Innebygde enheter til Microsoft Defender for Business

Denne artikkelen beskriver hvordan du tar enheter på bord i Defender for Business.

Ta vare på forretningsenhetene dine for å beskytte dem umiddelbart. Du kan velge blant flere alternativer for å få firmaets enheter om bord. Denne artikkelen veileder deg gjennom alternativene og beskriver hvordan pålasting fungerer.

Hva du må gjøre

1. Velg en fane:
   • Windows 10 og 11
   • Mac
   • Mobil (nye funksjoner er tilgjengelige for iOS- og Android-enheter!)
   • Servere (Windows Server eller Linux Server)
2. Vis pålastingsalternativene, og følg veiledningen på den valgte fanen.
3. Vis en liste over innebygde enheter.
4. Kjør en phishing-test på en enhet.
5. Gå videre til de neste trinnene.

Windows 10 og 11

Windows 10 og 11

Obs!

Windows-enheter må kjøre ett av følgende operativsystemer:

• Windows 10 eller 11 Business
• Windows 10 eller 11 Professional
• Windows 10 eller 11 Enterprise

Hvis du vil ha mer informasjon, kan du se Microsoft Defender for Business-krav.

Velg ett av følgende alternativer for å få Windows-klientenheter til Defender for Business:

• Lokalt skript (for pålastingsenheter manuelt i Microsoft Defender-portalen)
• Gruppepolicy (hvis du allerede bruker gruppepolicy i organisasjonen)
• Microsoft Intune (hvis du allerede bruker Intune)

Lokalt skript for Windows 10 og 11

Du kan bruke et lokalt skript på windows-klientenheter. Når du kjører pålastingsskriptet på en enhet, opprettes det en klarering med Microsoft Entra ID (hvis denne klareringen ikke allerede finnes), registrerer enheten i Microsoft Intune (hvis den ikke allerede er registrert), og deretter registrerer enheten til Defender for Business. Hvis du for øyeblikket ikke bruker Intune, er den lokale skriptmetoden den anbefalte pålastingsmetoden for Defender for Business-kunder.

Tips

Vi anbefaler at du om border opptil 10 enheter om gangen når du bruker den lokale skriptmetoden.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. VelgInnstillinger-endepunkter> i navigasjonsruten, og velg deretter Pålasting under Enhetsadministrasjon.

3. Velg Windows 10 og 11.

4. Velg Strømlinjeformet under Tilkoblingstype.

5. Velg lokalt skript under Distribusjonsmetode, og velg deretter Last ned pålastingspakke. Vi anbefaler at du lagrer pålastingspakken på en flyttbar stasjon.

6. Pakk ut innholdet i konfigurasjonspakken på en Windows-enhet til en plassering, for eksempel skrivebordsmappen. Du bør ha en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

7. Åpne en ledetekst som administrator.

8. Skriv inn plasseringen til skriptfilen. Hvis du for eksempel kopierte filen til skrivebordsmappen, skriver du inn %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd, og deretter trykker du ENTER (eller velger OK).

9. Kjør en gjenkjenningstest etter at skriptet er kjørt.

Gruppepolicy for Windows 10 og 11

Hvis du foretrekker å bruke gruppepolicy for å få Windows-klienter om bord, følger du veiledningen på Windows-enheter med gruppepolicy. Denne artikkelen beskriver fremgangsmåten for pålasting til Microsoft Defender for endepunkt. Fremgangsmåten for pålasting til Defender for Business er lik.

Intune for Windows 10 og 11

Du kan ta i bruk Windows-klienter og andre enheter i Intune ved hjelp av administrasjonssenteret for Intune (https://intune.microsoft.com). Det finnes flere tilgjengelige metoder for å registrere enheter i Intune. Vi anbefaler at du bruker én av følgende metoder:

• Aktiver automatisk Windows-registrering for firmaeide eller firmaadministrerte enheter
• Be brukerne om å registrere sine egne Windows 10/11-enheter i Intune

Aktiver automatisk registrering for Windows 10 og 11

Når du konfigurerer automatisk registrering, legger brukerne til jobbkontoen sin på enheten. I bakgrunnen registrerer og slutter enheten seg til Microsoft Entra ID og er registrert i Intune.

1. Gå til Azure-portalen (https://portal.azure.com/) og logg på.

2. Velg Microsoft Entra ID>Mobility (MDM og MAM)>Microsoft Intune.

3. Konfigurer MDM-brukeromfanget og MAM-brukeromfanget.

   

   • For MDM-brukeromfang anbefaler vi at du velger Alle , slik at alle brukere automatisk kan registrere Windows-enhetene sine.

   • I delen MAM-brukeromfang anbefaler vi følgende standardverdier for URL-adressene:

     • URL-adresse for bruksvilkår for MDM
     • URL-adresse for MDM-søk
     • URL-adresse for MDM-samsvar

4. Velg Lagre.

5. Når en enhet er registrert i Intune, kan du legge den til i en enhetsgruppe i Defender for Business. Finn ut mer om enhetsgrupper i Defender for Business.

Tips

Hvis du vil ha mer informasjon, kan du se Aktivere automatisk windows-registrering.

Be brukerne om å registrere Windows 10- og 11-enhetene sine

1. Se følgende video for å se hvordan registrering fungerer:
   
   

2. Del denne artikkelen med brukere i organisasjonen: Registrer Windows 10/11-enheter i Intune.

3. Når en enhet er registrert i Intune, kan du legge den til i en enhetsgruppe i Defender for Business. Finn ut mer om enhetsgrupper i Defender for Business.

Kjøre en gjenkjenningstest på en Windows 10- eller 11-enhet

Når du har koblet Windows-enheter til Defender for Business, kan du kjøre en gjenkjenningstest på enheten for å sikre at alt fungerer som det skal.

1. Opprett en mappe på Windows-enheten: C:\test-MDATP-test.

2. Åpne ledeteksten som administrator, og kjør deretter følgende kommando:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Når kommandoen kjøres, lukkes ledetekstvinduet automatisk. Hvis den lykkes, merkes gjenkjenningstesten som fullført, og det vises et nytt varsel i Microsoft Defender-portalen (https://security.microsoft.com) for den nylig pålastede enheten innen ca. 10 minutter.

Mac

Mac

Obs!

Vi anbefaler at du bruker et lokalt skript på Mac. Selv om du kan konfigurere registrering for Mac ved hjelp av Intune, er det lokale skriptet den enkleste metoden for å legge inn Mac til Defender for Business.

Velg ett av følgende alternativer for å åpne Mac:

• Lokalt skript for Mac (anbefales)
• Intune for Mac (hvis du allerede bruker Intune)

Lokalt skript for Mac

Når du kjører det lokale skriptet på Mac, opprettes det en klarering med Microsoft Entra ID (hvis denne tilliten ikke allerede finnes), registrerer Mac-maskinen i Microsoft Intune (hvis den ikke allerede er registrert), og deretter tar Mac-en til Defender for Business. Vi anbefaler at du om border opptil 10 enheter om gangen ved hjelp av denne metoden.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. VelgInnstillinger-endepunkter> i navigasjonsruten, og velg deretter Pålasting under Enhetsadministrasjon.

3. Velg macOS.

4. Velg Strømlinjeformet under Tilkoblingstype.

5. Velg lokalt skript under Distribusjonsmetode, og velg deretter Last ned pålastingspakke. Lagre pakken på en flyttbar stasjon. Velg også Last ned installasjonspakken, og lagre den på den flyttbare enheten.

6. Lagre installasjonspakken på Mac-maskinen som wdav.pkg en lokal katalog.

7. Lagre pålastingspakken i samme mappe som WindowsDefenderATPOnboardingPackage.zip du brukte for installasjonspakken.

8. Bruk Finder til å navigere til wdav.pkg du lagret, og åpne den.

9. Velg Fortsett, godta lisensvilkårene, og skriv deretter inn passordet når du blir bedt om det.

10. Du blir bedt om å tillate installasjon av en driver fra Microsoft (enten systemutvidelse blokkert eller installasjonen er sperret, eller begge deler). Du må tillate driverinstallasjonen. Velg Åpne sikkerhetsinnstillinger eller Åpne systemvalg>sikkerhet & personvern, og velg deretter Tillat.

11. Bruk følgende Bash-kommando til å kjøre pålastingspakken:

/usr/bin/unzip WindowsDefenderATPOnboardingPackage.zip \
&& /bin/chmod +x MicrosoftDefenderATPOnboardingMacOs.sh \
&& /bin/bash -c MicrosoftDefenderATPOnboardingMacOs.sh

Når Mac er registrert i Intune, kan du legge den til i en enhetsgruppe. Finn ut mer om enhetsgrupper i Defender for Business.

Intune for Mac

Hvis du allerede har Intune, kan du registrere Mac-datamaskiner ved hjelp av administrasjonssenteret for Intune (https://intune.microsoft.com). Det finnes flere tilgjengelige metoder for å registrere Mac i Intune. Vi anbefaler en av følgende metoder:

• Velg et alternativ for firmaeid Mac
• Be brukerne om å registrere sin egen Mac i Intune

Alternativer for firmaeid Mac

Velg ett av følgende alternativer for å registrere firmaadministrerte Mac-enheter i Intune:

Alternativ	Beskrivelse
Apple Automated Device Enrollment	Bruk denne metoden til å automatisere registrering på enheter kjøpt via Apple Business Manager eller Apple School Manager. Automatisert enhetsregistrering distribuerer registreringsprofilen «over luften», slik at du ikke trenger å ha fysisk tilgang til enheter. Se Automatisk registrere Mac med Apple Business Manager eller Apple School Manager.
Administrator for enhetsregistrering (DEM)	Bruk denne metoden for distribusjoner i stor skala og når det er flere personer i organisasjonen som kan hjelpe deg med registreringsoppsettet. Noen med dem-tillatelser (device enrollment manager) kan registrere opptil 1000 enheter med én enkelt Microsoft Entra-konto. Denne metoden bruker Firmaportal-appen eller Microsoft Intune-appen til å registrere enheter. Du kan ikke bruke en DEM-konto til å registrere enheter via automatisert enhetsregistrering. Se Registrere enheter i Intune ved hjelp av en administratorkonto for enhetsregistrering.
Direkte registrering	Direkte registrering registrerer enheter uten brukeraffinitet, så denne metoden er best for enheter som ikke er knyttet til én enkelt bruker. Denne metoden krever at du har fysisk tilgang til Mac-ene du registrerer. Se Bruke Direkte registrering for Mac.

Be brukerne om å registrere sin egen Mac i Intune

Hvis bedriften foretrekker at personer registrerer sine egne enheter i Intune, ber du brukerne om å følge disse trinnene:

1. Gå til firmaportalnettstedet (https://portal.manage.microsoft.com/) og logg på.

2. Følg instruksjonene på firmaportalnettstedet for å legge til enheten.

3. Installer Firmaportal-appen på https://aka.ms/EnrollMyMac, og følg instruksjonene i appen.

Bekreft at en Mac er pålastet

1. Hvis du vil bekrefte at enheten er knyttet til firmaet ditt, bruker du følgende Python-kommando i Bash:

   mdatp health --field org_id.

2. Hvis du bruker macOS 10.15 (Catalina) eller nyere, kan du gi Defender for Business samtykke til å beskytte enheten. Gå til Sikkerhet for systemvalg>& personvern>full>disktilgang. Velg låseikonet nederst i dialogboksen for å gjøre endringer, og velg deretter Microsoft Defender for Business (eller Defender for endepunkt, hvis det er det du ser).

3. Hvis du vil bekrefte at enheten er pålastet, bruker du følgende kommando i Bash:

   mdatp health --field real_time_protection_enabled

Når en enhet er registrert i Intune, kan du legge den til i en enhetsgruppe. Finn ut mer om enhetsgrupper i Defender for Business.

Mobile enheter

Mobile enheter

Du kan bruke følgende metoder for å ta på seg mobile enheter, for eksempel Android- og iOS-enheter:

• Bruke Microsoft Defender-appen
• Bruk Microsoft Intune

Bruke Microsoft Defender-appen

Funksjoner for forsvar av mobile trusler er nå generelt tilgjengelig for Defender for Business-kunder. Med disse funksjonene kan du nå legge inn mobile enheter (for eksempel Android og iOS) ved hjelp av Microsoft Defender-appen. Med denne metoden laster brukerne ned appen fra Google Play eller Apple App Store, logger på og fullfører pålastingstrinnene.

Viktig

Kontroller at alle følgende krav er oppfylt før pålasting av mobile enheter:

1. Klargjøringen av Defender for Business er fullført. Gå til Aktivaenheter> i Microsoft Defender-portalen.
   - Hvis du ser en melding som sier : "Vent litt! Vi forbereder nye områder for dataene dine og kobler dem til», og Defender for Business er ikke ferdig med klargjøringen. Denne prosessen skjer nå, og det kan ta opptil 24 timer å fullføre.
   – Hvis du ser en liste over enheter, eller du blir bedt om å oppgi enheter, betyr det at Klargjøring av Defender for Business er fullført.
2. Brukere har lastet ned Microsoft Authenticator-appen på enheten sin, og har registrert enheten ved hjelp av jobb- eller skolekontoen for Microsoft 365.

Enhet	Prosedyre
Android	1. Gå til Google Play-butikken på enheten. 2. Hvis du ikke allerede har gjort det, kan du laste ned og installere Microsoft Authenticator-appen. Logg på, og registrer enheten i Microsoft Authenticator-appen. 3. Søk etter Microsoft Defender-appen i Google Play-butikken, og installer den. 4. Åpne Microsoft Defender-appen, logg på og fullfør pålastingsprosessen.
iOS	1. Gå til Apple App Store på enheten. 2. Hvis du ikke allerede har gjort det, kan du laste ned og installere Microsoft Authenticator-appen. Logg på, og registrer enheten i Microsoft Authenticator-appen. 3. Søk etter Microsoft Defender-appen i Apple App Store. 4. Logg på og installer appen. 5. Godta vilkårene for bruk for å fortsette. 6. Tillat at Microsoft Defender-appen konfigurerer en VPN-tilkobling og legger til VPN-konfigurasjoner. 7. Velg om du vil tillate varsler (for eksempel varsler).

Tips

Når du har pålastet mobile enheter ved hjelp av Microsoft Defender-appen, fortsetter du å kjøre en phishing-test på en enhet.

Bruk Microsoft Intune

Hvis abonnementet omfatter Microsoft Intune, kan du bruke det på mobile enheter, for eksempel Android- og iOS/iPadOS-enheter. Se følgende ressurser for å få hjelp til å registrere disse enhetene i Intune:

• Registrer Android-enheter
• Registrere iOS- eller iPadOS-enheter

Når en enhet er registrert i Intune, kan du legge den til i en enhetsgruppe. Finn ut mer om enhetsgrupper i Defender for Business.

Servere

Servere

Obs!

Hvis du planlegger å bygge inn en forekomst av Windows Server eller Linux Server, trenger du en ekstra lisens, for eksempel Microsoft Defender for Business-servere. Alternativt kan du bruke Microsoft Defender for Servers Plan 1 eller Plan 2. Hvis du vil ha mer informasjon, kan du se Hva skjer hvis jeg har en blanding av sikkerhetsabonnementer for Microsoft-endepunkt?

Velg operativsystemet for serveren:

• Windows Server
• Linux Server

Windows Server

Viktig

Kontroller at du oppfyller følgende krav før du går om bord i et Windows Server-endepunkt:

• Du har en Microsoft Defender for Business-serverlisens. (Se hvordan du får Microsoft Defender for Business-servere.)
• Håndhevelsesomfanget for Windows Server er aktivert. Gå tilhåndhevelsesomfanget forkonfigurasjonsbehandling>> for innstillinger> forendepunkter. Velg Bruk MDE for å fremtvinge innstillinger for sikkerhetskonfigurasjon fra MEM, velg Windows Server, og velg deretter Lagre.

Du kan sette inn en forekomst av Windows Server til Defender for Business ved hjelp av et lokalt skript.

Lokalt skript for Windows Server

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. VelgInnstillinger-endepunkter> i navigasjonsruten, og velg deretter Pålasting under Enhetsadministrasjon.

3. Velg et operativsystem, for eksempel Windows Server 1803, 2019 og 2022, og velg deretter lokalt skript under Distribusjonsmetode.

   Hvis du velger Windows Server 2012 R2 og 2016, har du to pakker å laste ned og kjøre: en installasjonspakke og en pålastingspakke. Installasjonspakken inneholder en MSI-fil som installerer Defender for Business-agenten. Pålastingspakken inneholder skriptet for å få Windows Server-endepunktet til Defender for Business.

4. Velg Last ned pålastingspakke. Vi anbefaler at du lagrer pålastingspakken på en flyttbar stasjon.

   Hvis du valgte Windows Server 2012 R2 og 2016, velger du også Last ned installasjonspakke og lagrer pakken på en flyttbar stasjon

5. På Windows Server-endepunktet trekker du ut innholdet i installasjons-/pålastingspakken til en plassering, for eksempel skrivebordsmappen. Du bør ha en fil med navnet WindowsDefenderATPLocalOnboardingScript.cmd.

   Hvis du tar i bruk Windows Server 2012 R2 eller Windows Server 2016, pakker du ut installasjonspakken først.

6. Åpne en ledetekst som administrator.

7. Hvis du tar på deg Windows Server 2012R2 eller Windows Server 2016, kjører du følgende kommando:

   Msiexec /i md4ws.msi /quiet

   Hvis du tar i bruk Windows Server 1803, 2019 eller 2022, hopper du over dette trinnet og går til trinn 8.

8. Skriv inn plasseringen til skriptfilen. Hvis du for eksempel kopierte filen til skrivebordsmappen, skriver du inn %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmdog trykker enter (eller velger OK).

9. Gå til Kjør en gjenkjenningstest på Windows Server.

Kjøre en gjenkjenningstest på Windows Server

Når du har gått om bord i Windows Server-endepunktet til Defender for Business, kan du kjøre en gjenkjenningstest for å sikre at alt fungerer som det skal:

1. Opprett en mappe på Windows Server-enheten: C:\test-MDATP-test.

2. Åpne ledeteksten som administrator.

3. Kjør følgende PowerShell-kommando i ledetekstvinduet:

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
   

Når kommandoen kjøres, lukkes ledetekstvinduet automatisk. Hvis den lykkes, merkes gjenkjenningstesten som fullført, og det vises et nytt varsel i Microsoft Defender-portalen (https://security.microsoft.com) for den nylig pålastede enheten innen ca. 10 minutter.

Linux Server

Viktig

Kontroller at du oppfyller følgende krav før du går om bord i et Linux Server-endepunkt:

• Du har en Microsoft Defender for Business-serverlisens. (Se hvordan du får Microsoft Defender for Business-servere.)
• Du oppfyller forutsetningene for Microsoft Defender for Endpoint på Linux.

Innebygde Linux Server-endepunkter

Du kan bruke følgende metoder for å sette inn en forekomst av Linux Server til Defender for Business:

• Lokalt skript: Se Distribuer Microsoft Defender for endepunkt på Linux manuelt.
• Ansible: Se Distribuer Microsoft Defender for endepunkt på Linux med Ansible.
• Kjøkkensjef: Se Distribuer Defender for endepunkt på Linux med Chef.
• Hånddukke: Se Distribuer Microsoft Defender for endepunkt på Linux med marionett.

Obs!

Pålasting av en forekomst av Linux Server til Defender for Business er det samme som pålasting til Microsoft Defender for Endpoint på Linux.

Vise en liste over innebygde enheter

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. Gå til Aktivaenheter> i navigasjonsruten. Enhetslagervisningen åpnes.

Kjøre en phishing-test på en enhet

Når du har gått inn på en enhet, kan du kjøre en rask phishing-test for å sikre at enheten er tilkoblet, og at varsler genereres som forventet.

1. Gå til https://smartscreentestratings2.netpå en enhet. Defender for Business bør blokkere nettadressen på brukerens enhet.

2. Som medlem av organisasjonens sikkerhetsteam går du til Microsoft Defender-portalen (https://security.microsoft.com) og logger på.

3. Gå til Hendelser i navigasjonsruten. Du skal kunne se et informasjonsvarsel som angir at en enhet prøvde å få tilgang til et phishing-nettsted.

Neste trinn

• Hvis du har andre enheter om bord, velger du fanen for disse enhetene (Windows 10 og 11, Mac, Servere eller Mobile enheter), og følger veiledningen på denne fanen.
• Hvis du er ferdig med pålasting av enheter, går du videre til trinn 6: Konfigurere sikkerhetsinnstillingene og policyene i Defender for Business.